Herr Präsident! Liebe Kolleginnen! Liebe Kollegen! Lieber Herr Staatssekretär Saathoff, wenn Sie in einen Prozess einsteigen und den Ländern Grundgesetzänderungen abverlangen, dann müssen Sie den Gesprächsfaden natürlich weiterführen. Was wir regelmäßig aus den Ländern hören, ist: Sie fordern Grundgesetzänderungen, und dann wird nicht mehr miteinander geredet. Ich finde, das ist kein guter Stil. Wenn man was möchte, ist das Gespräch besser als eine Forderung hier am Rednerpult.

(Beifall bei der CDU/CSU)

Aber ich war gerade einigermaßen erstaunt und mir nicht ganz sicher, ob wir über den gleichen Gesetzentwurf reden. Sie haben mehrfach die Bundesverwaltung angesprochen. Ich will vorab sagen: Ja, Bundeskanzleramt und Ministerien verpflichten sich, ein erhöhtes Schutzniveau anzugehen. Aber, ehrlich gesagt, in § 44 des BSI-Gesetzes, das Sie entworfen haben, nehmen Sie Bezug auf das Grundschutz-Kompendium des BSI, einen Leitfaden des BSI, der bis zum 1. Januar 2026 modernisiert und fortgeschrieben werden soll; der soll jetzt Gesetzeskraft bekommen. Sie verleihen einem Leitfaden Gesetzesstatus. Das ist relativ schräg. Man fragt sich, wie das Ganze beim BMJ durch die Rechtsförmlichkeitsprüfung gelangt ist.

Ich will Folgendes sagen: Die nachgeordneten Behörden, die Bundesverwaltung insgesamt werden weiterhin nur die Mindestanforderungen aus dem UP Bund, einem Kabinettsbeschluss aus 2017, und die Mindeststandards des BSI erfüllen. Das ist doch vollkommen schräg nach dem, was wir gerade gehört haben. Die Angriffe nehmen in einer Zahl zu, die explodiert. Ich will mal ein Fallbeispiel nennen, das gar nicht alt ist. In einer Pressemitteilung vom 31. Juli 2024 nimmt das BMI Bezug auf das Bundesamt für Kartographie und Geodäsie. Es habe 2021 ein schwerer Cyberangriff durch staatliche chinesische Akteure stattgefunden. Es ist die Rede von Spionagezwecken und Infiltration. Endgeräte von Privatpersonen und Unternehmen seien für Verschleierungsnetzwerke genutzt worden. Zitat aus der Pressemitteilung: Eine „Bundesbehörde, die eine wichtige Funktion für eine Vielzahl staatlicher und privatwirtschaftlicher Einrichtungen, auch im Bereich der kritischen Infrastrukturen, wahrnimmt“, ist angegriffen worden. Und Sie lassen die Bundesämter, die nachgelagerten Bundesbehörden weiterhin auf dem nach BSI-Ansicht miserablen und nicht mehr ausreichenden Schutzniveau arbeiten. Das ist ganz schwach und reicht bei den tatsächlichen Bedrohungen gar nicht aus.

(Beifall bei der CDU/CSU)

Sie haben das BSI angesprochen. Die Befugnisse werden massiv erweitert. Aus dem IT-Sicherheitsgesetz 2.0 sind schon Erfordernisse erwachsen, für die 800 Planstellen kalkuliert worden sind, und die sind noch nicht mal besetzt. Das BSI ist noch nicht mal in der Lage, das Personal für die Anforderungen seiner Zeit aufzubauen. Und jetzt packen Sie noch alles Mögliche obendrauf, wollen das BSI sogar zu einer Zentralstelle weiterentwickeln, was durchaus richtig und gut ist; aber dann müssen Sie dies doch auch unterfüttern.

(Manuel Höferlin [FDP]: Geld folgt Struktur!)

Wie sieht denn die Realität aus? Es sind 21 Millionen Euro weniger im Haushalt für 2025. Und dann spricht Ihre Ministerin im Zuge der sogenannten Sicherheitsmilliarde davon, dass der nächste Haushalt ein echter Sicherheitshaushalt wird. Damit setze man – so Zitat – „die richtigen Prioritäten“. Das BSI kriegt nicht mehr; ganz im Gegenteil: Es kriegt sogar weniger. Sie setzen nicht die richtigen, sondern komplett falsche Prioritäten, meine Damen und Herren.

(Beifall bei der CDU/CSU)

Zum Abschluss möchte ich noch einen Punkt ansprechen. Wir haben einen eigenen Antrag auf den Weg gebracht, Stichwort „Europäische Kohärenz mit dem KRITIS-Dachgesetz“; denn Sie müssen KRITIS ganzheitlich denken. Was wir von Ihnen dazu gehört haben, als wir unseren Antrag vorgestern beraten haben, ist, wir hätten das nicht ausreichend getan. Wir hatten den Punkt allerdings drin.

Aber wo ist das KRITIS-Dachgesetz? Sie bauen sozusagen das Haus zum Schutz der kritischen Infrastruktur und haben kein Dach drauf. Sie lassen die kritische Infrastruktur schutzlos zurück. Man muss sich vorstellen, dass aus dem KRITIS-Dachgesetz auch noch Anforderungen in die NIS-2-Umsetzung rüberschwappen, zum Beispiel die Sicherheitsüberprüfung von Mitarbeiterinnen und Mitarbeitern bei KRITIS-Betreibern, die es ja noch gar nicht gibt und die im KRITIS-Dachgesetz angelegt ist. Sie glauben doch nicht ernsthaft, dass es reicht, kritische Infrastruktur schützen zu wollen und Mitarbeiter ohne entsprechende Überprüfung rein- und rausgehen zu lassen. Auch das sind Nachlässigkeiten, die in dem Gesetz unbedingt behoben werden müssen.

(Beifall bei der CDU/CSU)

Sie sprechen die Bürokratiearmut an. Ich wünsche Ihnen dabei viel Glück. Die Skepsis ist riesengroß, und die KRITIS-Betreiber gucken genau hin. Die Länder und Kommunen sind genannt worden, aber auch, was die Bundesregierung sich für ihre Behörden herausnimmt, ist schon allerhand.

Ihre Cybersicherheitsagenda ist auch mit diesem Gesetz ein Schweizer Käse in einer vernetzten Gesellschaft. Das ist die gleiche Vorgehensweise wie beim Sicherheitspaket.

Herr Kollege, kommen Sie zum Schluss, bitte.

Das, was rausgekommen ist, ist wirklich zu dünne. Der Gesetzentwurf wird jetzt wahrscheinlich wieder –

Herr Kollege, bitte.

– in den zerstrittenen Ampelreihen bis zum Sankt-Nimmerleins-Tag beraten. Es ist wirklich noch viel Arbeit für Sie zu tun.

Vielen Dank.

(Beifall bei der CDU/CSU)

Vielen Dank. – Nächster Redner ist für Bündnis 90/Die Grünen der Kollege Maik Außendorf.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN und bei der SPD sowie bei Abgeordneten der FDP)